» MS ISA Server (часть 1)

а между тем обновился Symantec AntiVirus for Microsoft ISA Server до:
SymantecAntiVirus_MS_ISA_431_Solaris_EN.zip 53,355,373 05/07/2004 6:50 PM
SymantecAntiVirus_MS_ISA_431_RedHat_EN.zip 45,031,432 05/07/2004 6:51 PM
SymantecAntiVirus_MS_ISA_431_Win2k_Server_EN.exe 49,128,960 05/07/2004 9:42 PM

Argo

Цитата:

Не работает доступ к ftp через ISA

Если нет доступа к конкретному серверу, а к другим есть - трабла в сервере.
Если нет доступа у конкретного ftp-клиента - копай в сторону его настроек и firewall-клиента.
Если нет доступа к любому Ftp-серверу из браузера - ковыряй настройки доступа в самом ISA.



Цитата:

как сделать, чтоб логи исы обрабатывались при помощи mySQL

В инсталяционном наборе есть скрипты создания базы для хранения логов на MsSQL.
На MySQL я как то пытался настроить - не вышло - забросил.

Вышел ISA Server 2000 Service Pack 2
Строго рекомендуется всем почитать Release Notes и установить на сервера. Далее обновить все Firewall клиенты.
Т.к. через неделю появляется ISA 2004 процесс миграции без SP2 невозможен. Всем читать и устанавливать. Я уже сделал

Вопрос к тем, кто попробовал 2004 бету:
Вылечил ли мелкософт в новой версии "болезни" исы 2000 такие как
- HTTP redirector не передаёт WebProxy данные аутентификации firewall клиентов
- не работают фильтры пакетов "туда-обратно" (both)
- при большом кол-ве DNS lookup-ов намертво вешается firewall service
?

Насколько безболезненным будет перевод существующего массива isa 2000 на isa 2004?

MaxMin - не было таких "болезней" в 2000. Плоххо настраивал..
У меня на 2000 все работает как часы.
По поводу миграции - если на этой неделе выходят обе версии исы 2004 (в чем я сомниваюсь, - жопой чую что энтерпрайс задержат), то на isaserver.org начнут появляться гайды по миграции. Им я и собираюсь следовать - у Томаса статьи просто супер.

я обычный пользователь, в нет ходим через иса сервер (в трее висит microsoft firewall client) я так понимаю этот клиент создает тунель для прог (типа аси) .
а ести ли программы типа проксикап для иса сервера, потому как проксикап и прочие на пашут..
(извиняюсь может быть за ламерский вопрос...)

The3DAlex - Firewall Client это и есть такая программа.
А SOCKS5 не работает, т.к. не создан его Protocol Definition на сервере (или твоему юзеру протокол не разрешен)

MaxMin

Цитата:

Вылечил ли мелкософт в новой версии "болезни" исы 2000 такие как
- HTTP redirector не передаёт WebProxy данные аутентификации firewall клиентов
- не работают фильтры пакетов "туда-обратно" (both)
- при большом кол-ве DNS lookup-ов намертво вешается firewall service

?????
ничего подобного не встречал на протяжении почти 5 лет работы нескольких серверов, вообще глюков не было, за исключением иногда "ошибка конфигурации" при запуске, но это я уверен что сам чего-то понаворотил в настройках

kibkalo - есть возможность в моей ситуации dqnb через другой прокси (ну через два, три...) (скажу сразу что если в експлорере прокси внешний указать - то интернет работает (причём через тот прокси (и пропускает по 80 порту...))


Добавлено
kibkalo.. это был вопрос. )

The3DAlex - не понял самого вопроса - что именно надо?
При включенном файервол клиенте можно использовать прокси в браузере.
В файервол клиенте можно указать (временно например) другой иса сервер, чтобы ходить через него, а потом вернуться к дефолтовому. Ну наконец можно испольховать SecureNAT клиента, прописать маршрутизацию чтобы в нужную подсеть ходил через нужную ису. Подробнее о SecureNAT в общем в мануале. на конкретный вопрос (не "что это такое") готов отвечать.

После установки второго сервиспака столкнулся с ситуёвиной. При перезапуске / старте файерволл сервиса вылазит сообщение:


Цитата:

Microsoft Firewall failed. The failure occurred during Initialization of Network Address Translation (NAT) because the configuration property msFPCName of the key SOFTWARE\Microsoft\Fpc\Arrays\{D58FADF2-AB1A-41A5-9D90-09DB298EDA44}\PolicyElements\DialupEntries\{59598754-042B-499D-9C2C-66D11B28FBC0}\Credentials could not be accessed. Use the source location 2.1927.3.0.1200.365 to report the failure. The error code in the Data area of the event properties indicates the cause of the failure. For more information about this event, see ISA Server Help. The error description is: The system cannot find the file specified.

ИСА настроен для работы через диалап. Указанный ключ в реестре есть, проблем с доступом к нему - нет. После удаления всех Dial-Up Entries ошибка исчезает. При создании новых - появляется опять. На работоспособность сервиса это не влияет. Кто нибудь сталкивался?

kibkalo
в общем всё началось с того что один оч. хороший человек попросил поставить на роботе Диаблу, в которой он хотел на баттл нете играть, но диабла не нашла игровой сервер.
я начал узнавать, в результате мне сказали, что нада диаблу затунелить, но так как у меня socs запрещён то я не могу пользоваться всякими прогами под сокс и нттр, ко всему тому у всех машин при выходе в инет один ай пи - проксёвый.
по этому я хотел затунелить диаблу на какой нибудь внешний сервер который бы моей машине назначал внешний адрес и тогда всё должно вроде работать...
да, я знаю , в клиенте можно прописать другой сервер, но он должен быть только исовским, а как мне найти такой сервер - я не знаю...
(заранее прошу прощения за всякие неграмотности... я в этом деле не профи..)
ну в общем хотелось бы както этому человеку помочь... (а с другой стороны - азарт )

The3DAlex - туннелить тебе ничего не надо.
Diablo Battlenet использует протоколы, которые по умолчаанию в исе не описаны. Надо тебе залезть на форумы диаблонутых и узнать по каким портам она соединяется. Далее просто создать Firewall Deinition и усе заработает. Во всяком случае для контры я так делал ребятам..

я так понимаю это на сервере создавать нада, а у меня к нему доступа нет, (как и к нашему сисадмину...)..
а если нет, то, если можно - как конкретно это делается, или ссылочку на литературу по этому поводу...
Заранее спасибо..
P.s. - если всё таки на сервере - то это последний вопрос с моей стороны на эту тему.
Спасибо за помощь!!

The3DAlex - на сервере.

adsh
А это модемное соединение в момент перезапуска сервиса активно?

JcVai
Без разницы. Одно с другим не связано. Раньше не ругалось в любой ситуации.

adsh

Цитата:

Одно с другим не связано

Да я бы не сказал... если ошибка связана с nat, то могли быть траблы с динамическим роутингом.


Цитата:

Раньше не ругалось в любой ситуации

Попробуй тогда regmon и filemon.

ЗЫ: Попробуй еще посмотреть: Configuring ISA Server Dial-up Connections

JcVai
Это глюк сервиспака и с НАТом он не связан. Я на ИСОвском диалапе собаку съел. Вопрос - как пофиксить.

adsh
А у regmon все ок?
Возможно не хватает какого-то ключа в реестре.
У самих MS спрашивал?

Добавлено
Поэкспериментировал.
Действительно встречается такая проблема.
Помогло создание в соответствующих ветках свойства msFPCName типа REG_SZ
со значением равным msFPCUserName этой ветки.

Есть контроллер домена srv1: 192.168.0.1, если второй сервак srv2 (не контроллер, но член домена): 192.168.0.2. На обоих win2k3ServEnt.
На srv2 стоит ISA.
И такая проблема:
Ситуёвина с ISA. Настроил я её как описано в этой статье и в этой с isaserver.org. Есть зарегенный домен и два ДНС сервака (они публичные от регистратора), на которых я настроил запись A на адрес x.x.x.x (который на внешнем интерфейсе ZyXEL).
И нифига. Не открывается. IE пишет 10061 - Connection refused
Internet Security and Acceleration Server. Хотя пинг нормально:
Обмен пакетами с [no]www.mydomain.ru [x.x.x.x] [/no]с 32 байт данных:
Ответ от x.x.x.x: число байт=32 время<1мс TTL=254
...


Я однако грешу на нашего прова. Т.к. городок у нас маленький, то соотв. и провайдер полудохлый. У них нет свободных IP. До них у меня так: ZyXEL Prestige791R EE, а на их стороне такой же. Короче, т.к. у них нет свободных IP, и не известно когда будут, они сделали NAT.
Т.е. схема такая: на внутр. интерфейсе на srv2: 192.168.0.2, а на внешнем: 192.168.192.2. К внешнему через Ethernet порт подключен ZyXEL: адрес его внутреннего интерфейса (который подключен к 192.168.192.2): 192.168.192.1, на его внешнем интерфейсе (типа WAN адрес): x.x.x.x (publicIP). Мож чё надо на модеме настроить?

Я особо не рабираюсь в этих делах, но нужно наш веб-сервак срочно выставить в инет. Наш сисадмин ушёл в загул вместе в сисадмином провайдера, так что помогите!!!!!

Возможно мелкомягкие забыли предупредить о смене имени ключа...

Эх млин...
К моей проблеме...
Оказывается из инета сайт наш виден, т.е. с другого public IP, не нашего.
Но сайт не видится изнутри нашей сетки. При открытии IE пишет такую ошибку:
...
10061 - Connection refused
Internet Security and Acceleration Server.
...


Чё такое? Что в ISA нужно прописать, что внутренние клиенты могли изнутри попадать к внутреннему www-серваку через публичный FQDN???

Porolonchik
А в браузере пробовал пунктик не использовать прокси для...?

Как кривой вариант: сделать для данного адреса роутинг на какой-нибудь внешний прокси.

JcVai

Цитата:

А в браузере пробовал пунктик не использовать прокси для...?

И что? На кождом из 30-ти компов тоже исправлять этот пунктик?
Конечно, можно через групповые политики всем сделать. Но это же не есть решение проблемы. Тут явно что-то с ISA.

Цитата:

Как кривой вариант: сделать для данного адреса роутинг на какой-нибудь внешний прокси.

Я сделал правило в Routing, чтобы для нужного мне Destination Set ISA роутила запросы на Hosted Site(это который srv1 192.168.0.1). Вроде заработало. Страница открывается изнутри.
Но!... Почему-то перестали работать FrontPage Extantions2002. Т.е. на серваке то они установиться установились, но когда открываешь страничку для site administration tasks и вводишь пароль администратора домена, начинается: лампочка активности HDD горит, в Диспетчере задач процесс iexlore.exe забирает 80-90% времени процессора, а в самом броузере внизу синяя полосочка (которая отображает ход подключения) дергается туда-сюда с огромной скоростью.
И никакого результата. Окошко броузера белоснежное. Ждал минут 10. И нафиг забросил. Мож кто знает в чем дело? Кста, FrontPage не хочет открывать этот самый вебпо http: тоже запросил пароль и усе.....
Эх.....

Porolonchik

Цитата:

Конечно, можно через групповые политики всем сделать

У меня сделано именно так.


Цитата:

Но это же не есть решение проблемы. Тут явно что-то с ISA.

Тогда проверь наличие авторизации на внешнем интерфейсе
и разрешенные твоему аккаунту destinations.

А что касается frontpage - ни разу им не пользовался для работы с сайтами в онлайне,
предпочитаю заливать готовый материал через фтп.

есть небольшой вонпрос
Как при помощи ISA сервера от SYN flood атаки закрыться можно ?

Был ли у кого опыт по пусканию Voice Over IP (VoIP) через ISA?

Корейская фирма предлагает за $39.9 в месяц неограниченные звонки в Японию, Штаты, Корею.
http://www.goodtelecom.co.kr:83/

Есть вот такой аппарат World Phone GT-100 подключается через COM и PS/2, во внешней сетке все работает как часы.



Посмотрел какие порты открываются TCP/UDP открыл на ISA, теперь клиент регистрируется у них на сервере, пробуешь звонить и ничего нет, т.е. канал по UDP не идет...

Подскажите где покапаться, на сайте мельком упоминается информации по настройке почти никакой

JcVai

Цитата:

Помогло создание в соответствующих ветках свойства msFPCName типа REG_SZ
со значением равным msFPCUserName этой ветки.

Угу - помогло. При чём - само оно его, при создании диалап записей в ИСЕ (не в системе), почему то, не создаёт.

Vasa_Husainov

Цитата:

Как при помощи ISA сервера от SYN flood атаки закрыться можно ?

А смысл? ISA, по умолчанию игнорирует все запросы из вне.
Если ты публикуешь какой то сервис - то можно поиграть с настройками таймаутов
для него.
Еще неплохо помогает аппаратный файрвол+роутер перед ISA.
Посмотри еще: Internet Server Unavailable Because of Malicious SYN Attacks

abzac
А как открываешь?
Есть разные варианты: IP Filters, Firewall client, server publishing, protocol rules...

adsh

Цитата:

само оно его, при создании диалап записей в ИСЕ (не в системе), почему то, не создаёт.

Похоже просто недочет программеров.